BeyondTrust زیر ضرب حملات فعال سایبری

کمیته رکن چهارم – پژوهشگران امنیتی هشدار داده‌اند عوامل تهدید در حال سوءاستفاده فعال از آسیب‌پذیری بحرانی CVE-2026-1731 در محصولات BeyondTrust Remote Support (RS) و Privileged Remote Access (PRA) هستند؛ نقصی با امتیاز CVSS برابر با ۹٫۹ که امکان اجرای دستورات سیستم‌عامل را در بستر کاربر سایت فراهم می‌کند.

به گزارش کمیته رکن چهارم، شرکت Palo Alto Networks Unit 42 اعلام کرده این آسیب‌پذیری در حملات واقعی برای طیف گسترده‌ای از فعالیت‌های مخرب مورد استفاده قرار گرفته است؛ از شناسایی شبکه و استقرار وب‌شل گرفته تا ایجاد کانال فرمان و کنترل (C2)، نصب درِپشتی، حرکت جانبی و سرقت داده‌های حساس.

این کارزار سازمان‌هایی در حوزه‌های خدمات مالی، حقوقی، فناوری پیشرفته، آموزش عالی، خرده‌فروشی و سلامت را در کشورهایی مانند ایالات متحده، فرانسه، آلمان، استرالیا و کانادا هدف قرار داده است.

ریشه فنی نقص

بر اساس تحلیل Unit 42، این آسیب‌پذیری ناشی از عدم پاک‌سازی صحیح ورودی‌ها در اسکریپت thin-scc-wrapper است که از طریق رابط WebSocket در دسترس قرار دارد. مهاجم می‌تواند با تزریق دستور، کد دلخواه شل را اجرا کند. هرچند این دسترسی در سطح root نیست، اما به گفته پژوهشگران، کنترل پیکربندی دستگاه، نشست‌های مدیریت‌شده و ترافیک شبکه را عملاً در اختیار مهاجم قرار می‌دهد.

آنچه مهاجمان انجام داده‌اند

در موارد مشاهده‌شده، مهاجمان از اسکریپت‌های Python برای دسترسی به حساب مدیریتی استفاده کرده و چندین وب‌شل در مسیرهای مختلف نصب کرده‌اند؛ از جمله یک درِپشتی PHP برای اجرای مستقیم کد و یک bash dropper جهت ایجاد پایداری. همچنین بدافزارهایی مانند VShell و Spark RAT مستقر شده‌اند.

مهاجمان با بهره‌گیری از تکنیک‌های OAST موفقیت اجرای کد را تأیید کرده و سپس اقدام به استخراج داده‌هایی نظیر فایل‌های پیکربندی، پایگاه‌های داده داخلی و حتی نسخه کامل پایگاه داده PostgreSQL کرده و آن‌ها را به سرورهای خارجی منتقل کرده‌اند.

ارتباط با آسیب‌پذیری‌های پیشین و باج‌افزار

Unit 42 اعلام کرده شباهت‌هایی میان این نقص و آسیب‌پذیری پیشین CVE-2024-12356 وجود دارد که پیش‌تر توسط گروه‌های وابسته به چین مورد سوءاستفاده قرار گرفته بود. آژانس CISA نیز این نقص را به فهرست KEV افزوده و تأیید کرده در کارزارهای باج‌افزاری از آن استفاده شده است.

BeyondTrust اعلام کرده نخستین نشانه‌های سوءاستفاده در ۳۱ ژانویه ۲۰۲۶ شناسایی شده؛ یعنی حدود یک هفته پیش از افشای عمومی آسیب‌پذیری. بهره‌برداری‌ها محدود به محیط‌های خودمیزبان و در معرض اینترنت بوده که وصله امنیتی را به‌موقع اعمال نکرده بودند.

هشدار فوری به سازمان‌ها

سازمان‌هایی که از نسخه‌های self-hosted BeyondTrust استفاده می‌کنند باید فوراً وصله‌ها را نصب کرده، دسترسی مدیریتی از اینترنت را محدود کنند، حساب‌های مدیریتی را بازبینی کرده و لاگ‌ها را برای نشانه‌های نفوذ و استخراج داده بررسی کنند.

با توجه به بهره‌برداری فعال و ارتباط مستقیم با عملیات باج‌افزاری، CVE-2026-1731 در حال حاضر یکی از تهدیدهای فوری برای زیرساخت‌های سازمانی محسوب می‌شود.

منبع: The Hacker News